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« Boitier securise renfermant un clavier permettant dlntroduire des don- 
nees confidentielles » 

Domaine de rinvention 

La presente invention concerne un boitier securise renfer- 
5 mant un clavier permettant d'introduire des donnees confidentielles telles 
qu'un numero d'identification personnel, destinees en particulier a un 
systeme de paiement electronique. 

Les circuits electroniques ont largement contribute au deve- 
loppement des societes modernes et sont utilises dans de nombreux do- 
10 maines de la technique. 

Ces circuits ont en particulier permis la creation et l'essor 
des systemes dits « de paiement electronique » qui permettent d'effectuer 
diverses transactions a partir de terminaux de paiement electronique 
equipes de claviers numeriques en utilisant des cartes de credit. 
15 Or, ces systemes doivent etre securises de fagon a proteger 

tant les clients que les commergants en evitant tout risque de transactions 
frauduleuses. 

Dans ce but, les banques et les fabricants de cartes de cre- 
dit attribuent a celles-ci des numeros d'identification personnels que leurs 
20 proprietaires doivent entrer dans le clavier numerique equipant les termi- 
naux de paiement electronique. 

Apres leur introduction, les numeros d'identification ainsi 
que d'autres donnees confidentielles figurant sur les cartes de credit sont 
cryptes dans des modules de securite prealablement a la transaction. 
25 Le numero d'identification personnel permet done de verifier 

que la carte de credit est bien utilisee par son veritable proprietaire, et non 
par un intrus ayant trouve ou vole celle-ci. 

Pour des raisons evidentes de securite, il est essentiel 
qu'entre son introduction dans le clavier numerique d'un terminal de 
30 paiement electronique et son cryptage un numero d'identification person- 
nel ne soit pas accessible a des tiers malintentionnes. 

II est par suite necessaire d'associer des dispositifs de pro- 
tection a ces claviers. 

Les fraudeurs font cependant preuve de plus en plus 
35 d'astuce pour tenter d'obtenir des donnees confidentielles et par suite la 
securisation des claviers numeriques des terminaux de paiement electro- 
nique est de plus en plus difficile. 

A titre d'exemple, les fraudeurs peuvent : 
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- visualiser la saisie d*un code confidentiel (directement ou par 
Tintermediaire de systemes video) ; 

- acceder a relectronique du systeme, notamment en inserant dans ce- 
lui-ci une carte electronique « moucharde » ; 

5 - « ecouter » les emissions electromagnetiques emises par Pelectronique 
du systeme pour les correler avec les touches appuyees ; 

- voler les informations lorsqu'elles sont frappees, par exemple en posant 
un faux clavier au-dessus du clavier veritable, ou en repandant sur 
celui-ci une substance telle que de la poussiere qui laisse des traces 

10 sur les touches utilisees. 

Btat de la technique 

Differents moyens ont deja ete proposes pour tenter de se- 
curiser les claviers numeriques des terminaux de paiement electronique. 

On a a titre d'exemple deja propose de dissimuler les tou- 
15 ches des claviers des regards indiscrets (document WO 00/68859) ou en- 
core de changer la position des touches a chaque nouvelle utilisation 
(document WO 98/27518). 

Ces differents moyens rendent plus difficile la determination 
des donnees confidentielles en regardant un utilisateur les taper sur un 
20 clavier numerique. 

II a egalement deja ete propose d'enfermer le clavier, son 
controleur ainsi que le module de securite associe a celui-ci dans un boi- 
tier scelle, de fagon a interdire aiox fraudeurs d'avoir acces au systeme 
electronique en amont du cryptage des donnees confidentielles introduites 
25 dans le clavier. 

A titre d'exemple, on a deja propose conformement au do- 
cument WO 01/92349 d'enfermer Telectronique entre le clavier et une 
plaque de verre. 

De telles solutions s'averent cependant tres onereuses et 
30 particulierement difficiles a mettre en oeuvre. 

Par suite, jusqu'a ce jour, il n'a pas ete propose de moyen 
de securisation sur et satisfaisant sur le plan economique des claviers 
numeriques des terminaux de systemes de paiement electronique. 

But de Finvention 

35 La presente invention a pour objet de combler cette lacune 

en proposant Lin boitier securise renfermant un clavier numerique congu 
de maniere a empecher les intrus de pouvoir acceder frauduleusement 
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aux donnees confidentielles introduites avant leur ciyptage par un module 
de securite. 

L'invention a en particulier pour objet de permettre de de- 
tecter un dispositif place sur le clavier afin de determiner les donnees 
confidentielles entrees, ou de prevenir toute alteration du systeme effec- 
tuee dans le meme but. 

Un autre objet de Tinvention est d'empecher toute ecoute 
des emissions electromagnetiques generees par Telectronique du systeme. 

Le boitier qui fait l'objet de Tinvention est tout specialement 
adapte a la securisation des claviers numeriques equipant les terminaux 
de paiement des systemes de paiement electronique mais peut s'adapter a 
la securisation de tout systeme dans lequel des donnees confidentielles 
sont transmises par clavier. 

Expose de l'invention 

La presente invention concerne done un boitier securise 
permettant d'introduire des donnees confidentielles telles qu'un numero 
d'identification personnel destine en particulier a un systeme de paiement 
electronique et comportant une matrice tactile capacitive reliee d\ine part 
par des fils de liaison a une carte de circuit imprime portant un controleur 
associe, un module de securite ainsi qu'une electronique sensible aux va- 
riations de la capacite du systeme et prise d'autre part en sandwich entre 
deux plaques de verre, a savoir une plaque de verre avant ou plaque de 
protection et une plaque de verre arriere ou plaque de support. 

Un tel boitier permet done d*utiliser les proprietes des 
ecrans tactiles capacitifs, bien connus de lliomme du metier, pour detec- 
ter la presence d*un dispositif exterieur fixe sur le clavier numerique, 
comme par exemple un faux clavier ou une substance deposee afin de 
marquer les touches enfoncees lors de la saisie du code confidentiel. 

Le clavier numerique est affiche au dessous des plaques de 
verre par un dispositif quelconque tel qu'ecran LCD, CRT, LED, autocol- 
lant, ... et est lu par transparence. 

Pour introduire son code confidentiel, Tutilisateur touche 
avec ses doigts la plaque de protection au dessous de laquelle le clavier est 
affiche. 

Cette manipulation a pour consequence de changer locale- 
ment la capacite du systeme, ce qui permet au controleur de connaitre la 
position touchee, done de determiner le code confidentiel introduit. 
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II s'agit la du fonctionnement classique d'un ecran tactile 

capacitif. 

Pour que le systeme de securisation puisse fonctionner de 
maniere satisfaisante, il est bien entendu necessaire d'avoir determine lors 
5 d*une etape d'etalonnage prealable, mise en oeuvre pendant la fabrication 
du boitier, la capacite du systeme au repos (au repos signifiant qu'il n*y a 
aucun objet a cote ou sur Tecran tactile) au niveau des differents empla- 
cements de la plaque de protection correspondant aux differentes touches 
du clavier, 

10 La liste de ces valeurs de capacite est enregistree dans une 

memoire en tant que reference. 

Toute tentative de « masquage » du clavier dans un but 
frauduleux modifie la capacite du systeme. 

Par suite, en cours de fonctionnement, les valeurs reelles de 
15 capacite sont constamment comparees aux valeurs enregistrees et toute 
deviation superieure a un niveau de deviation autorise predetermine est 
interpretee comme indicative d'une fraude et declenche une alarme ou 
Tarret du systeme. 

Le boitier securise qui fait Tobjet de Tinvention est caracte- 
20 rise en ce que la plaque de protection est realisee en un verre fragmenta- 
ble et est equipee d'un conducteur electrique constitue par un long fil 
accole a celle-ci ou par une metallisation en forme de boucle. 

Ce conducteur electrique fait d*une part partie d'un circuit 
de detection de fraudes comportant une source de tension ainsi qu'un 
25 detecteur de courant associe a un organe d'alarme et se rompt d'autre 
part sous Teffet d'une fragmentation de la plaque de protection pour en- 
trainer Tinterruption du courant dans le circuit de detection de fraudes et 
Tactivation de Torgane d'alarme. 

Selon Finvention, le verre fragmentable est de preference 
30 constitue par un verre trempe se brisant en une multitude de fragments 
en reponse a un choc. 

Selon une autre caracteristique de Tinvention, la plaque de 
support est elle aussi realisee en un verre fragmentable et equipee d*un 
conducteur electrique faisant partie du circuit de detection de fraudes et 
35 se rompant sous Teffet d*une fragmentation de celle-ci pour entrainer 
Tinterruption du courant dans le circuit de detection de fraudes et 
Tactivation de Torgane d'alarme. 
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Selon Finvention, il est egalement possible d'adjoindre au 
boltier une troisieme plaque de verre ou plaque de recouvrement recou- 
vrant la plaque de support sur sa face arriere et se prolongeant au niveau 
de la face arriere de la carte de circuit imprime. 

La presence de cette plaque de recouvrement permet 
d'ameliorer la securisation de la carte de circuit imprime. 

Cette plaque de recouvrement peut avantageusement etre 
elle aussi realisee en un verre fragmentable et equipee d*un conducteur 
electrique faisant partie du circuit de detection de fraudes et se rompant 
sous l'effet d'une fragmentation de celle-ci pour entrainer rinterruption du 
courant dans le circuit de detection de fraudes et Factivation de Forgane 
d'alarme. 

Compte tenu des caracteristiques susmentionnees, toute 
tentative d'acces aux parties sensibles du boltier securise (module de se- 
curite par exemple entraine la fragmentation des plaques de verre et par 
suite la rupture d'un conducteur qui est immediatement detectee par le 
detecteur de courant et interrompt Falimentation d'une memoire de sau- 
vegarde de parametres de fonctionnement du clavier stockes lors de la fa- 
brication. 

La detection de cette rupture entraine une alarme et avan- 
tageusement la desactivation du systeme. 

Selon une autre caracteristique de Tinvention, la carte de 
circuit imprime est situee a proximite immediate de la matrice tactile ca- 
pacitive recouverte par la plaque de protection. 

Cette caracteristique permet aux fils de liaison de la matrice 
tactile capacitive et de la carte de circuit imprime d'etre aussi court que 
possible, ce qui a pour resultat d'interdire Faeces au circuit ou transitent 
des donnees confidentielles non securisees. 

Selon une autre caracteristique de Tinvention, la carte de 
circuit imprime et les composants electroniques fixes sur celle-ci sont 
noyes dans une resine cassante, notamment une resine epoxy. 

Cette caracteristique permet de garantir que les fils reliant 
les differents composants electroniques soient automatiquement brises en 
cas d'attaque physique, notamment de tentative de « poin?onnage » des 
plaques de verre. 

La configuration du boltier securise conforme a Tinvention 
permet done d'interdire a un intrus d'avoir acces a des donnees confiden- 
tielles non securisees en aval de la plaque de protection. 
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En effet, toute tentative dans ce sens aurait pour conse- 
quence de casser les differentes plaques de verre et/ou la resine cassante 
dans laquelle est noyee la carte de circuit imprime, et par suite 
d'endommager Felectronique du systeme et de detruire les donnees confi- 
dentielles qu'elle contient. 

Selon une autre caracteristique particulierement avanta- 
geuse de l'invention, le circuit de detection de fraudes est parcouru par un 
courant oscillant a haute frequence module en amplitude et en frequence 
de facon a provoquer un brouillage des emissions electromagnetiques du 
systeme vis a vis de l'exterieur et a empecher ainsi toute tentative de lec- 
ture des signaux internes du systeme a l'aide d'un recepteur haute fre- 
quence exterieur. 

Selon l'invention, on peut egalement prevoir d'autres orga- 
nes de securisation du boitier, par exemple associer a l'ecran un filtre op- 
tique standard connu en lui-meme de facon a permettre de reduire Tangle 
de vision sur lequel le clavier peut etre lu. 

Dessins 

Les caracteristiques du boitier securise qui fait l'objet de 
l'invention seront decrites plus en detail en se referant aux dessins an- 
nexes dans lesquels : 

- la figure 1 est une perspective « eclatee » schematique illustrant la con- 
figuration du boitier securise ; 

- la figure la est un schema illustratif du mode d\itilisation du boitier ; 

- la figure lb est un schema illustratif d*une tentative de fraudes ; 

- la figure 2 est un schema representant le circuit de detection de frau- 
des. 

Description de modes de realisation 

Selon la figure 1, le boitier securise 1 comporte une matrice 
tactile capacitive prise en sandwich entire deux plaques realisees en un 
verre cassant a savoir une plaque de protection 3 et une plaque de sup- 
port 5. 

La matrice tactile capacitive 2 est reliee par des fils de liai- 
son 6 a une carte de circuit imprime 7 portant le controleur associe, un 
module de securite 16 (figure 2) ainsi qu*une electronique sensible aux 
variations de la capacite du systeme. 

La carte de circuit imprime 7 et les composants electroni- 
ques fixes sur celle-ci sont noyes dans une resine epoxy cassante 8. 
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Comme represente sur la figure 1, la carte de circuit impri- 
me 7 est situee a proximite immediate de la matrice tactile capacitive 2 
recouverte par la plaque de protection 3 dont la longueur est superieure a 
celle de la plaque de support 5. 

La plaque de support 5 peut le cas echeant etre recouverte 
sur sa face arriere opposee a la plaque de protection 3 par une troisieme 
plaque de verre non representee sur les figures, a savoir une plaque de 
recouvrement se prolongeant au niveau de la face arriere de la carte de 
circuit imprime 7. 

Cette configuration permet de reduire au maximum le trajet 
dans lequel transitent des donnees confidentielles non securisees apres 
leur introduction dans le boitier 1. 

En effet, a la sortie du boitier 1, ces donnees ont subi un 
cryptage leur evitant d'etre interceptees par un fraudeur. 

II est a noter que conformement a l'exemple de realisation 
represente sur les figures, la matrice tactile fonctionne selon la technologie 
classique des ecrans tactiles capacitifs projetes. 

Par suite la matrice tactile est constitute par une matrice 
de fins micro fils connectes au controleur. 

Une frequence d'oscillation est assignee a chacun de ces 

micro fils. 

Selon la figure la, pendant une utilisation normale, 
l*utilisateur touche avec ses doigts la plaque de protection 3 au travers de 
laquelle le clavier est affiche par un dispositif d'affichage 4. 

Le fait de toucher la plaque de protection 3 modifie la fre- 
quence d'oscillation des micro fils situes a Templacement correspondant. 

Cette modification qui est une fonction de la capacite du 
systeme permet au controleur fixe sur la carte de circuit imprime 7 de 
determiner a quel endroit la plaque de protection 3 et par suite Tecran 
projete a ete touche par Futilisateur, et done de determiner le code confi- 
dentiel introduit. 

Lors d*une etape d'etalonnage prealable on a mesure la ca- 
pacite au repos au niveau de chaque croisement de fils de la matrice tac- 
tile 7. 

La liste des valeurs ainsi mesurees est enregistree en tant 
que reference dans une memoire 9 associee au module de securite 16 
d'une fagon representee schematiquement sur la figure 2. 
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Selon la figure lb, si un intrus applique sur la plaque de 
protection 3 un dispositif de « marquage » 10 tel que faux clavier ou cou- 
che de poussiere a des fins frauduleuses, la capacite reelle du systeme est 
modifiee et cette modification est constatee par l'electronique de com- 
mande qui peut en reponse generer une alarme ou arreter le systeme. 

Bien entendu, l'invention pourrait etre transposee a de 
nombreuses autres technologies d'ecrans tactiles capacitifs sans pour cela 
sortie du cadre de celle-ci. 

Selon la figure 2, le boitier 1 renferme en outre un circuit de 
detection de fraudes 1 1 comportant essentiellement une source de tension 
12 ainsi qu"un conducteur electrique en forme de boucle 13 accole a la 
plaque de protection 3. 

Ce circuit 1 1 renferme egalement un detecteur de courant 
14 associe a un organe d'alarme non represente. 

Une tentative d'acces aux parties sensibles du boitier, no- 
tamment a la carte de circuit imprime 7 a pour consequence de casser la 
plaque de protection 3 et par suite de rompre le conducteur 13 entrainant 
ainsi remission d*une alarme, et egalement la deactivation du systeme 
par suite de l'effacement de la memoire 9. 

Selon la figure 2, le circuit de detection de fraudes 1 1 est 
egalement equipe d*un dispositif de protection 15 permettant d'alimenter 
ce circuit en un courant oscillant a haute frequence module en amplitude 
et en frequence de facon a provoquer un brouillage des emissions electro- 
magnetiques du systeme vis-a-vis de l'exterieur. 
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REVINDICATIONS 
1°) Boitier securise permettant d'introduire des donnees confidentielles 
telles qu"un numero d'identification personnel destine en particulier a un 
systeme de paiement electronique et comportant une matrice tactile capa- 
citive (2) reliee d'une part par des fils de liaison (6) a une carte de circuit 
imprime (7) portant un controleur associe, un module de securite (16) ain- 
si qu'une electronique sensible aux variations de la capacite du systeme, 
et prise d'autre part en sandwich entre deux plaques de verre, a savoir 
une plaque de verre avant ou plaque de protection (3) et une plaque de 
verre arriere ou plaque de support (5), 
caracterise en ce que 

la plaque de protection (3) est realisee en un verre fragmentable et est 
equipee d'un conducteur electrique (13) constitue par un long fil accole a 
celle-ci ou par une metallisation en forme de boucle, ce conducteur elec- 
trique faisant d'une part partie d'un circuit de detection de fraudes (11) 
comportant une source de tension (12) ainsi qu'un detecteur de courant 
(14) associe a un organe d'alarme, et se rompant d'autre part sous l'effet 
d'une fragmentation de la plaque de protection (3) pour entrainer 
Interruption du courant dans le circuit de detection de fraudes (11) et 
l'activation de l'organe d'alarme. 

2°) Boitier securise selon la revendication 1, 
caracterise en ce que 

la plaque de support (5) est elle aussi realisee en un verre fragmentable et 
equipee d'un conducteur electrique faisant partie du circuit de detection 
de fraudes (11) et se rompant sous l'effet d'une fragmentation de celle-ci 
pour entrainer l'interruption du courant dans le circuit de detection de 
fraude (1 1) et l'activation de l'organe d'alarme. 

3°) Boitier securise selon l'une quelconque des revendications 1 et 2, 
caracterise en ce que 

la plaque de support (5) est recouverte sur sa face arriere d'une troisieme 
plaque de verre ou plaque de recouvrement se prolongeant au niveau de la 
face arriere de la carte de circuit imprime. 

4°) Boitier securise selon la revendication 3, 
caracterise en ce que 
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la plaque de recouvrement est elle aussi realisee en un verre fragmentable 
et equipee d'un conducteur electrique faisant partie du circuit de detection 
de fraudes (11) et se rompant sous l'effet d'une fragmentation de celle-ci 
pour entrainer rinterruption du courant dans le circuit de detection de 
5 fraudes (1 1) et l'activation de Forgane d'alarme. 

5°) Boitier selon l'une quelconque des revendications 1 a 4, 
caracterise en ce que 

la carte de circuit imprime (7) est situee a proximite immediate de la ma- 
10 trice tactile capacitive (2) recouverte par la plaque de protection (3). 

6°) Bolder securise selon l*une quelconque des revendications 1 a 5, 
la carte de circuit imprime (7) et les composants electroniques fixes sur 
celle-ci sont noyes dans une resine cassante, notamment une resine epoxy 
15 (8). 

7°) Bolder selon Tune quelconque des revendications 1 a 6, 
caracterise en ce que 

le circuit de detection de fraudes (11) est parcouru par un courant os- 
20 cillant a haute frequence module en amplitude et en frequence de facon a 
provoquer un brouillage des emissions electromagnetiques du systeme vis 
a vis de Texterieur. 
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FIG.2 



